合理規劃權限

在默認情況下，系統會安裝各種網絡協議，其實有些協議純屬多余，完全可以將其刪除，這有益于提高安全性和使用效率。例如，在本地連接的屬性窗口中只保留“Internet協 議（TCP/IP）” 項（包括TCP/IPv4或者TCP/IPv6）。對于其它協議，點擊“卸載”按鈕，將其全部刪除。雙擊“Internet協議（TCP/IP）”項，在其屬性窗口中點擊“高級”按鈕，在“WINS”面 板（如 圖 1所示）中選擇“禁用TCP/IP上的NetBIOS”項，來禁用NetBIOS通信方式，該通訊方式適用于早期的Windows系統，之后的系統采用的是Direct Hosting通信方式，可以提高連接的效率。

圖1 禁用TCP/IP上的NetBIOS

圖2 禁止生成DUMP文件

當系統出現藍屏故障或者崩潰時，系統會產生DUMP文件，在其中存儲相關的記錄信息，這本來是便于管理員查找故障原因的。但是，這些DUMP文件一旦落入黑客手中，就有可能暴露本機的一些敏感信息，例如相關的密碼等。因此，最好禁止生成DUMP文件。在系統屬性窗口中的“高級”面板中的“啟動和故障恢復”欄中點擊“設置”按鈕，在“寫入調試信息”列表中選擇“無”項，就可以實現上述功能（如圖2所示）。在運行窗口中執行“drwtsn32”程序，就會打開系統自帶的華醫生窗口，在其中只選擇“轉儲全部線程上下文”項，不選擇其余項目。否則一旦程序出錯，系統就可能長時間讀取硬盤，并產生記錄文件占用硬盤空間。如果系統出現過這樣的情況，可以尋找并刪除“user.dmp”文件。

在默認狀態下，系統會自動設置一些具有潛在威脅的參數，例如允許建立空連接、自動啟動服務器共享等等。為了提高系統安全性，最好將這些可能被黑客惡意利用的參數關閉。另外，為了防止黑客對服務器進行各種攻擊操作，還需要防止SYN洪水攻擊，防止ICMP重定向報文攻擊、禁用IGMP協議、禁止響應ICMP路由通告報文等。其實，和上述各項緊密相關的參數全部存儲在注冊表中，為了便于使用，這里將其相關的修改數據全部保存在名為“security.reg”的文件中。雙擊該文件，將修改信息導入到注冊表中，之后重啟系統，就可以使之生效。

系統和外界通訊，需要使用到相關的端口。在默認情況下，135、445等端口處于開啟狀態，為了提高安全性，有時需要將其關閉。對注冊表進行適當修改，就可以關閉445端口。為了便于使用，這里提供了名為“closeport”的批處理文件，可以關閉這些存在安全威脅的端口。運行該批處理文件后，重啟系統就可以了。關閉135端口的方法是運行“dcomcnfg”程序，在組建服務窗口左側選擇“控制臺根目錄”→“組件服務”→“我的電腦”項，在其屬性窗口中的“默認屬性”面板中取消“在此計算機上啟用分布式COM”項的選擇狀態。在“默認協議”面板中選擇“面向連接的TCP/IP”項，點擊“刪除”按鈕，點擊確定按鈕保存設置信息。之后重啟電腦，就可以關閉135端口。

對于系統安全來說，合理設置磁盤和文件訪問權限是很重要的。依次選中所有的磁盤，在其屬性窗口中的“安全”面板中的“組或用戶名稱”列表中只保留Admibistrators組和SYSTEM賬戶，將其余的賬戶全部刪除。對于系統盤的權限設置尤為重要，對于系統盤中的“Windows”文件夾來說，在其屬性窗口中的“安全”面板中只保留Administrators組，SYSTEM賬戶，User組，將其余的賬戶刪除。讓Administrators組和SYSTEM賬戶擁有全部權限，User組采用默認權限。對于其它目錄來說，建議在“安全”面板中刪除Everyone賬戶。對于系統盤中的“Document and Settings”文件夾來說，在其屬性窗口中的安全面板中只賦予Administrators組完全控制權限。因為在該文件夾中存在很多目錄，應該根據不提情況分別配置。例如對于“C:Documents and SettingsAll UserDocument”目錄來說，其中的“All User”目錄應該只讓Administrator賬戶擁有完全控制權，對于“Document”目錄來說，因為很多用戶都可能對其訪問，所以應該不同的賬戶分別設置合適的控制權。對 于“C:WindowsTemp”目錄來說，其中存儲一些臨時文件，應該讓“Everyone”賬戶擁有對其的讀寫權限，否則可能會導致系統或者其中的網站無法順利運作。

系統自帶了一些實用程序，其中一些如果被黑客惡意利用，就可能對系統構成潛在威脅。所以需要對其配置合理的權限，利用系統的搜索功能，搜索諸如net.exe、net1.exe、cmd.exe、等，注意其中有些可能是隱藏文件。依次選中這些文件，在其屬性窗口中的安全面板中只保留Administrators組和SYSTEM賬戶，將其余的賬戶全部刪除。

對于系統路徑下的一些文件夾來說，可能存在被黑客惡意利用的威脅，為了安全起見，最好將其刪除。例如， 對 于“C:WindowsWebPrinters”目 錄 來 說，可能會造成在IIS中加入一個“.printers”的擴展名的情況，引發黑客的溢出攻擊，建議將其刪除。IISde錯誤頁面某人保存在“C:WindowsHelpiisHelp”目錄中，不過因為很少使用最好將其刪除。IIS的密碼信息一般保存在“C:WindowsSystem32inetsrviisadmpwd”目錄中，因為一些密碼不同步導致IIS出錯時，就存在被黑客使用特定程序（例如lisadmpwd等）修改同步密碼的問題，因此可以將其刪除。如果無法正常刪除的話，可以進入安全模式對其刪除。

利用組策略，可以有效提高系統安全性。例如，運行“gpedit.msc”程序，在組策略窗口左側選擇“計算機配置”→“Windows設置”→“安全設置”→“密碼策略”項，在右側窗口中將“密碼最短使用期限”設置為0，讓密碼不過期，避免出現IIS密碼不同步的問題。選擇“賬戶策略”→“賬戶鎖定策略”項，在右側窗口將“賬戶鎖定閥值”設置為5次，將“賬戶鎖定時間”設置為10分鐘。選擇“本地策略”→“審核策略”項，在右側窗口（如圖3所示）雙擊“審核策略修改”項，為其啟用成功和失敗審核操作。針對“審核登錄事件”啟用成功和失敗審核操作，針對“審核對象反問”啟用失敗審核操作。針對“審核過程追蹤”啟用成功和失敗審核操作。針對“審核目錄服務訪問”啟用失敗審核操作，針對“審核特權使用”啟用失敗審核操作。針對“審核系統事件”啟用成功和失敗審核操作，針對“審核賬戶登錄事件”啟用成功和失敗審核操作，針對“審核賬戶管理”啟用成功和失敗審核操作。

圖3 設置審核策略

選擇“本地策略”→“安全選項”項，在右側窗口中將“交互式登錄：不顯示上次的用戶名”，“交互式登錄：不需 要 按 Ctr+Alt+Del”，“網絡訪問：不允許SAM賬戶的匿名枚舉”，“網絡訪問：不允許SAM賬戶和共享的匿名枚舉”等狀態設置為“已啟用”。雙擊“網絡訪問：可匿名訪問的共享”，“網絡訪問：可匿名訪問的命名管道”，“網絡訪問 ：可遠程訪問的注冊表路徑”，“網絡訪問：可遠程訪問的注冊表路徑和子路徑”項，將其內容徹底清空。雙擊“賬戶：重命名來賓賬戶”項，將Guest賬戶修改為別的名稱。雙擊“賬戶：重命名系統管理員賬戶”項，將Administrator賬戶更改為別的名稱，為了迷惑黑客，最好建立一個名為“Administrator”的賬戶，讓其擁有最小權限。

對于系統自帶的Wscript等組件，最好將其刪除，否則黑客很容易通過ASP，PHP木馬來讀取系統敏感信息。例如管理員賬戶等。甚至還會執行一些危險的命令。這里采取的是對這些控件進行更名，防止被黑客惡意利用。運行“regedit.exe”程 序，在 注 冊 表編輯器中對“HKEY_CLASSES_ROOT”分支 下“WScript.Shell”，“WScript.Shell.1”，“WScript.Network”，“WScript.Network.1”子健進行更名處理?；蛘咧苯舆\行“regsvr32/uwshom.dll”和“regsvr32/ushell32.dll”命 令，將Wshell和Shell.application組件卸載掉。

運 行“services.msc”程序，在服務管理器中會顯示大量的服務信息，其實，其中的一些服務對系統正常運行沒有影響，甚至一些默認開啟的服務還會針對系統安全構成威脅。因此，最好將不需要的服務關閉，避免其被黑了非法利用。管理服務可以使用“sc”命令來實現。例如禁用管理打印作業的Print Spooler服務的話，可以在CMD窗口中執行“sc config Spooler start= disabled”命令來實現。為了便于使用，這里提供了名為“closefuwu.bat”的命令，將其運行后可以關閉各種不需要的服務，來提高系統運行速度和安全性。